Was ist ADFS?

Active Directory Federation Services (ADFS) ist eine von Microsoft entwickelte Lösung für Einmaliges Anmelden (Single Sign-On, SSO). Als Bestandteil von Windows Server-Betriebssystemen bietet es Benutzern authentifizierten Zugriff auf Anwendungen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung (IWA) über Active Directory (AD) zu verwenden.

ADFS wurde entwickelt, um Flexibilität zu gewährleisten und gibt Unternehmen die Möglichkeit, die Benutzerkonten ihrer Mitarbeiter zu kontrollieren und gleichzeitig das Benutzererlebnis zu vereinfachen: Mitarbeiter müssen sich nur einen einzigen Satz von Anmeldedaten merken, um über SSO auf mehrere Anwendungen zuzugreifen.

Wie funktioniert ADFS?

ADFS verwaltet die Authentifizierung über einen Proxy-Dienst, der zwischen AD und der Zielanwendung bereitgestellt wird. Es verwendet einen Federated Trust, der ADFS und die Zielanwendung verbindet, um Benutzern Zugriff zu gewähren. Auf diese Weise können sich Benutzer über SSO bei der föderierten Anwendung anmelden, ohne ihre Identität direkt in der Anwendung authentifizieren zu müssen.

Der Authentifizierungsprozess erfolgt in diesen vier Schritten:

1. Der Benutzer navigiert zu einer vom ADFS-Dienst bereitgestellten URL.
2. Der ADFS-Dienst authentifiziert den Benutzer dann über den AD-Dienst der Organisation.
3. Nach der Authentifizierung stellt der ADFS-Dienst dem Benutzer einen Authentifizierungsanspruch zur Verfügung.
4. Der Browser des Benutzers leitet diesen Anspruch dann an die Zielanwendung weiter, die den Zugriff basierend auf dem erstellten Federated Trust-Dienst entweder gewährt oder verweigert.

Warum nutzen Unternehmen ADFS?

ADFS wurde aus der Notwendigkeit geboren, die Authentifizierungsherausforderungen von AD in einer zunehmend vernetzten Online-Welt zu bewältigen. AD und IWA haben Einschränkungen in Bezug auf die moderne Authentifizierung festgelegt und können keine Benutzer authentifizieren, die extern auf AD-integrierte Anwendungen zugreifen. Dies ist eine Herausforderung an einem modernen Arbeitsplatz, an dem Benutzer oft auf Anwendungen zugreifen müssen, die sich nicht im Besitz oder unter Verwaltung ihrer AD-Organisation befinden.

ADFS ist in der Lage, diese Herausforderungen bei der Authentifizierung bei Drittanbietern zu lösen und zu vereinfachen, birgt aber gewisse Risiken und Nachteile.

ADFS löst das Problem von Benutzern, die während sie remote arbeiten auf AD-integrierte Anwendungen zugreifen müssen. Es bietet eine flexible Lösung, mit der sie sich über eine Weboberfläche mit ihren Standard-AD-Anmeldedaten für die Organisation authentifizieren können. Es ermöglicht Benutzern aus einer Organisation den Zugriff auf die Anwendungen einer anderen Organisation außerhalb ihrer AD-Domain. Beispiele sind Anwendungen in einem Partnerunternehmen oder moderne Cloud-Services, die heute Teil der erweiterten IT-Umgebung vieler Organisationen sind.

Über 90 % aller Organisationen verwenden Active Directory, was bedeutet, dass viele Unternehmen auch ADFS verwenden.

Was sind die Risiken und Nachteile?

ADFS hat seine Nachteile, weshalb es alles andere als eine ideale Authentifizierungslösung ist. Zu diesen Nachteilen gehören die versteckten Infrastruktur- und Wartungskosten sowie Sicherheitsrisiken.

Obwohl ADFS eine kostenlose Funktion auf Windows Servern ist, erfordert die Inbetriebnahme von ADFS eine Windows Server-Lizenz und einen Server, um den ADFS-Dienst zu hosten, was für die Organisation mit Kosten verbunden ist. Insbesondere sind die Kosten für eine Server-Lizenz seit der Veröffentlichung von Windows Server 2016 gestiegen, wobei die Lizenzierung nun auf Pro-Kern-Basis erfolgt.

Versteckte Wartungskosten

Neben den direkten Kosten für die Inbetriebnahme von ADFS müssen Unternehmen auch die laufenden Betriebskosten für die Verwaltung und Wartung eines ADFS-Dienstes berücksichtigen. Trusts zwischen den AD-Domains müssen von Mitarbeitern mit fundierten technischen Kenntnissen gewartet werden, und ADFS-Server müssen regelmäßig gepatcht, aktualisiert und gesichert werden. Da es sich bei ADFS um einen geschäftskritischen Dienst handelt, ist hohe Verfügbarkeit entscheidend. Je nachdem, wie es konfiguriert ist, kann ADFS mehr kosten als erwartet: Sowohl direkt bei wachsendem Infrastrukturbedarf als auch indirekt bei zunehmender Komplexität.

Gesamtkomplexität

Die Inbetriebnahme, Konfiguration und Wartung einer ADFS-Lösung ist kein einfaches Unterfangen. Darüber hinaus ist das Hinzufügen einer Anwendung zu einem ADFS-Dienst jedes Mal ein zeitaufwändiger und technisch komplizierter Prozess, was die Agilität der IT beeinträchtigt.

Sicherheitsrisiken

Eine standardmäßige Out-of-the-Box-Installation von ADFS ist nicht so sicher wie sie sein könnte. Um sie angemessen zu sichern, sind mehrere Schritte erforderlich, die die IT-Abteilung durchführen muss. Da ADFS auf einem Windows-Server läuft, muss auch dieser abgesichert und geschützt sein, um sicherzustellen, dass die Lösung nicht gefährdet ist.

ADFS vs. Cloud-Identität

Es besteht kein Zweifel, dass ADFS einige Vorteile hat, die es zu einer beliebten Wahl für Unternehmen machen, die nach einer föderierten Identitätslösung suchen. ADFS hat jedoch deutliche Nachteile, die nicht ignoriert werden dürfen.

Cloud-basierte Identitätsdienste von Drittanbietern können Funktionen aufweisen, die denen von ADFS entsprechen und sie in einigen Fällen sogar übertreffen. Cloud-Identitätslösungen sind kostengünstiger, da sie einen geringeren Betriebsaufwand erfordern; darüber hinaus verfügen sie über integrierte hohe Verfügbarkeit und eine nahtlose Integration mit Hunderten von Anwendungen. Okta stellt sichere Cloud-basierte Identitätslösungen für seine Nutzer bereit, die nicht nur Authentifizierungsprobleme lösen, sondern auch die Sicherheit konsequent im Vordergrund halten.

Erfahren Sie mehr darüber, wie Sie die versteckten Gebühren von ADFS meiden und die richtigen Authentifizierungslösungen für Ihr Unternehmen finden.